O
projeto de lei sobre tratamento de dados (PL 4060/12) aprovado pela Câmara dos Deputados nesta
terça-feira (29) especifica que, para a realização de estudos em saúde pública,
os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, mas deverão
tratá-los em ambiente controlado e seguro.
Sempre
que possível, os estudos deverão realizar a anonimização, ou seja, procedimento
que torne os dados anônimos ou difíceis de serem associados a uma pessoa em
particular.
Será
proibida a comunicação ou o uso compartilhado entre responsáveis de dados
sensíveis referentes à saúde com o objetivo de obter vantagem econômica, exceto
nos casos de portabilidade de dados consentida pelo titular.
Crianças
e adolescentes
Quanto ao tratamento de dados pessoais de crianças e de adolescentes, o substitutivo de
Orlando Silva (PCdoB-SP) prevê que ele somente poderá ser realizado com o
consentimento específico e em destaque dado por pelo menos um dos pais ou
responsável legal.
Na
participação em jogos, aplicações de internet ou outras atividades, por
exemplo, os responsáveis por tratamento de dados não devem condicioná-la ao
fornecimento de mais informações pessoais que as estritamente necessárias.
Direitos
O titular dos dados pessoais tem direito a obter do responsável várias
informações ou procedimentos em relação aos seus dados:
- confirmação da existência de tratamento;
- acesso aos dados;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimato, bloqueio ou eliminação de dados desnecessários ou excessivos;
- portabilidade de seus dados pessoais a outro fornecedor de serviço ou
produto;
- a informação das entidades públicas e privadas com as quais o responsável
realizou uso compartilhado de dados;
- a informação da possibilidade de não fornecer o consentimento e sobre as
consequências dessa negação;
- a revogação do consentimento; e
- entrar com petição contra responsável perante o órgão competente e os
organismos de defesa do consumidor.
O
responsável pelo tratamento de dados deverá informar de maneira imediata a
outros com os quais tenha compartilhado esses dados sobre o pedido de correção,
eliminação, transformação em anonimato ou bloqueio dos dados, para que repitam
idêntico procedimento.
Penalidades
Os agentes de tratamento de dados estão sujeitos a penalidades que vão desde
advertência a suspensão ou proibição de funcionamento, passando por multa e
eliminação obrigatória de dados.
As
multas serão simples ou diárias, de até 4% do faturamento da pessoa jurídica de
direito privado, grupo ou conglomerado no Brasil no seu último exercício,
limitadas no total a R$ 50 milhões por infração.
Metodologia
divulgada antecipadamente deverá prever gradação da multa por gravidade da
infração.
A
suspensão parcial ou total de funcionamento do banco de dados será por um
máximo de seis meses, prorrogáveis por igual período até a regularização da
atividade.
Órgão
regulador
Como órgão regulador, o projeto cria a Autoridade Nacional de Proteção de
Dados, entidade integrante da administração pública federal indireta, submetida
a regime autárquico especial e vinculada ao Ministério da Justiça.
O
órgão terá um Conselho Diretor com três conselheiros e mandato de quatro anos.
As decisões serão por maioria.
Entre
as atribuições, destacam-se elaborar diretrizes para uma Política Nacional de
Proteção de Dados Pessoais e Privacidade; fiscalizar e aplicar sanções;
promover entre a população o conhecimento das normas e das políticas públicas
sobre proteção de dados pessoais e as medidas de segurança; promover ações de
cooperação com autoridades de proteção de dados pessoais de outros países, de
natureza internacional ou transacional; e realizar ou determinar a realização
de auditorias.
A
autoridade terá autonomia administrativa e financeira, com recursos vindos da
execução da sua dívida ativa; dotações orçamentárias; cobrança de emolumentos
por serviços prestados; e recursos provenientes de acordos, convênios ou
contratos celebrados com entidades, organismos ou empresas, públicos ou
privados, nacionais e internacionais.
Conselho
Também é criado o Conselho Nacional de Proteção de Dados Pessoais e da
Privacidade, composto por 23 representantes titulares dos seguintes órgãos:
- seis representantes do Executivo federal;
- um representante indicado pelo Senado Federal;
- um representante indicado pela Câmara dos Deputados;
- um representante indicado pelo Conselho Nacional de Justiça;
- um representante indicado pelo Conselho Nacional do Ministério Público;
- um representante indicado pelo Comitê Gestor da Internet no Brasil;
- quatro representantes da sociedade civil com atuação comprovada em proteção
de dados pessoais;
- quatro representantes de instituição científica, tecnológica e de inovação; e
- quatro representantes de entidade representativa do setor empresarial ligado
à área de tratamento de dados pessoais.
Entre
suas competências, podem ser citadas a proposição de diretrizes estratégicas; a
elaboração de relatórios anuais de avaliação da execução das ações da Política
Nacional de Proteção de Dados; a realização de estudos e debates sobre o tema;
e a disseminação do conhecimento sobre o assunto entre a população em geral.
Reportagem
– Eduardo Piovesan
Edição – Pierre Triboli, Agência Câmara Notícias